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5 . ■ 

Arriere-plan de I'lnvention 

L'Invention concerne un procede de gestion d'un ensemble 
d'alertes issues de sondes de detection dlntruslons. 

La securite des systemes d'information passe par le 
10 deploiement de systemes de detection d'intrusions « IDS » comportant 
des sondes de detection d'intrusions qui emettent des alertes vers des 
systemes de gestion d'alertes. 

En effet, les sondes de detection d'intrusions sont dis 
composants actifs du systeme de detection d'intrusions qui analysent urie 
15 ou plusleurs sources de donnees a la recherche d'evenements 
caracteristiques d'une activite intrusive et emettent des alertes vers \^ 
systemes de gestion d'alertes. Un systeme de gestion des alertes 
centralise les alertes provenant des sondes et effectue eventuellement urfl 
analyse de Tensemble de ces alertes. 
20 Les sondes de detection d'intrusions generent un tres grand 

nombre d'alertes qui peut comprendre plusieurs milliers par jour en 
fonction des configurations et de Tenvlronnement. 

L'exces d'alertes peut resulter d'une combinaison de plusieurs 
plienomenes. Tout d'abord, de fausses alertes representent jusqu'a 90% 
25 du nombre total d'alertes. Ensuite^ les alertes sont souvent trop 
granulaires, c'est-a-dire que leur contenu semantique est tres pauvre. 
Enfin les alertes sont souvent redondantes et recurrentes. 

Ainsi, Texces d'alertes rend leur comprehension et leur 
manipulation difficile par un operateur de securite humain. 
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Le traitement amont des alertes au niveau du systeme de 
gestion est done necessaire pour faclliter le travail d'analyse de I'operateur 
de securite. 

Les systemes de gestion d'alertes actuels consistent a stoc!<er 
5 les alertes dans un systeme de gestion de bases de donnees relationneiles 
(SGBDR). L'operateur de securite peut ainsi interroger ce systeme de 
gestion SGBDR en lui soumettant une requete portant sur les propri^tes 
des alertes. Le systeme de gestion SGBDR fournit en retour h l'operateur, 
I'ensemble des alertes dont la description satisfalt la requete. 

Llnconvenient de ces systemes est le fait que les alertes 
fournles a l'operateur peuvent etre nombreuses et granulalres, ce qui rend 
leur analyse fastidieuse. 

Obiet et resume de I'inventlon 

^5 L'invention a pour but de remedler a ces inconvenlents, et de 

fournir une methode simple de gestion d'un ensemble d'alertes issues de 
sondes de detection d'Intruslons pour permettre une consultation flexible, 
alsee et raplde de cet ensemble d'alertes. 

Ces buts sont atteints grace a un precede de gestion d'un 

20 ensemble d'alertes issues de sondes de detection d'intrusions d'un 
systeme de securite d'informations comportant un systeme de gestion 
d'alertes, chaque alerte etant definie par un identifiant d'alerte et un 
contenu d'alerte, caracterlse en ce quH comporte les etapes suivantes : 
-associer a chacune des alertes issues des sondes de detection 

25 dintrusions, une description comportant une conjonction d'une pluralite 
d'attributs values appartenant a une pluralite de domalnes d'attributs ; 
-organiser les attributs values appartenant a chaque domaine d'attrlbut en 
une structure taxinomique definissant des relations de generalisation entre 
lesdits attributs values, la pluralite des domaines d'attributs formant ainsi 

30 une pluralite de structures taxinomiques ; 
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-completer la description de chacune desdites alertes par des ensembles 
de vaieurs rndultes par les structures taxinomlques a partir des attributs 
values desdites alertes pour former des alertes completes ; 
-stocker lesdites alertes completes dans un systeme de fichiers logique 
5 pour en permettre la consultation. 

Ainsi, le stockage des alertes completes dans un systeme de 
fichiers logique permet a un operateur de securite de consulter le systeme 
de gestion d'alertes d'une maniere efficace, rapide, et flexible afin 
d'obtenir une vision precise de I'ensemble des alertes issues des sondes 

10 . de detection dlntrusions. 

La consultation des alertes completes peut etre realisee par une 
succession d'interrogations et/ou de navigations dans lesdites alertes' 
completes de sorte qu'en reponse a une requete, le systeme de gestion 
d'alertes fournit des attributs values pertinents permettant de distlnguer 

15 un sous-ensemble d'alertes completes parmi un ensemble d'alertes , i 
completes satisfalsant la requete afin de pennettre le raffinement de ladite »f 
requete. .?^#: 
De preference, les attributs values pertinents sont en priorite ' ^' 
les plus generaux en regard de la pluralite des structures taxinomiques. 

20 Avantageusement, en reponse a la requete, le systeme de 

gestion d'alertes fournit en outre des identlfiants d'alertes satisfalsant la 
requete et dont la description ne peut pas ^tre raffinee par rapport a 
ladlte requite. 

Lldentifiant d'alerte est un couple forme d'un identifiant de la 
25 sonde de detection d'intrusions qui prodult I'alerte et d'un numero de serie 
d'alerte affecte par ladite sonde. 

Le contenu de chaque alerte comporte un message textuel 
fourni par la sonde de detection d'intrusions correspondante. 

Chaque attrlbut value comporte un identifiant d'attribut et une 
30 valeur d'attribut. 



1 er depot 



4 

Seion un aspect de Hnvention, chaque identifiant d'attribut est 
associe a un domaine d'attrlbuts parmi les domaines suivants : domaine 
de I'attaque, domaine de I'identite de I'attaquant, domaine de I'identite de 
la victime et domaine de ia date de I'attaque. 

Avantageusement, la description d'une alerte donnee est 
compietee en recuperant a partir des relations de generalisation de ia 
pluraiite de structures taxinomiques et de maniere recursive, un ensemble 
comportant les attrlbuts values plus generaux et n'ayant pas deja ete 
presents dans la description d'une autre alerte precddemment compietee. 

Selon un aspect particulier de I'invention, les attrlbuts values 
dans la structure taxinomique sont organises selon un graphe acyclique 
dirige, 

L'invention vise aussi un programme informatique congu pour 
mettre en oeuvre le procede cl-dessus, lorsqu'il est execute par le systeme 
de gestion d'alertes. 

Breve description des dessins 

D'autres particularites et avantages de l'invention ressortiront a 
la lecture de la description faite, ci-apres, a titre Indicatif mais non 
limitatif, en reference aux dessins annexes, sur lesquels : 

-la figure 1 est une vue tres sch^matique d'un systeme de 
securite d'informations comportant un systeme de gestion d'alertes selon 
^invention ; 

-la figure 2 est un organigramme illustrant les etapes du 
procede de gestion d'un ensemble d'alertes, selon l'invention ; 

-la figure 3A illustre un exemple d'une documentation associee 
a des signatures d'attaques ; et 

-la figure 3B montre de fagon tres schematique une structure 
taxinomique associee a Kexemple de la figure 3A. 
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Description detaillee de modes de realisation 

La figure 1 lllustre un exemple d'un systeme de detection 
d'intrusions 1 relie a travers un routeur 3 a un reseau externe 5 et a un 
reseau interne 7a et 7b a architecture distribuee. 
5 Le systeme de detection d'intrusions 1 comporte plusieurs 

sondes de detection dintrusions 11a, lib, 11c, et un systeme de gestion 
d'alertes 13, Ainsi, une premiere sonde 11a de detection d'Intrusions 
surveille les alertes venant de I'exterleur, une deuxieme sonde lib 
surveille une partle du reseau interne 7a comprenant des stations de 
10 travail 15 et une troisieme sonde 11c surveille une autre partie du reseau 
interne 7b comprenant des serveurs 17 delivrant des informations au 
reseau externe 5. 

Le systeme de gestion d'alertes 13 comporte un hote 19 dedie 
au traitement des alertes, un systeme de fichiers logique 21, et une unite 
15 de sortie 23. 

Le systeme de fichiere logique peut etre du type « LISFS » 
propose par Padioleau et Ridoux, dans une conference (Usenix Annual^ 
Technical Conference 2003) intitulee "A Logic File System". ^ 

Dans le systeme de fichiers logique LISFS, les fichiers sont des 
20 objets auxquels sont associees des descriptions, exprimees dans une 
logique propositionnelle. La description d'un fichier est une conjonction de 
proprietes. 

Les proprietes des fichiers sont les repertoires du systeme de 
fichiers, si bien que le chemin d'un fichier est sa description, Un chemin 
25 est done une formule logique. Un emplacement du systeme de fichiers 
contlent Tensemble des fichiers dont la description satisfait la formule 
correspondant au chemin de Templacement 

Comme dans un systeme de fichiers classique, des commandes 
specifiques permettent de naviguer et manipuler les fichiers et leurs 
30 descriptions. 

Ainsi, les sondes 11a, lib, 11c deployees dans le systeme de 

detection dintrusions 1 envoient (fleches 26) leurs alertes 25 au systeme 
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de gestion d'aleites 13. Ce dernier, conformement a I'inventlon, procede a 
une gestion de cet ensemble d'alertes et a son stockage dans !e systeme 
de fichlers iogique 21 pour en permettre la consultation a travers I'unite de 
sortie 23 d'une maniere flexible. 

En effet, I'hote 19 du systeme de gestion d'alertes 13 comprend 
des moyens de traitements pour proceder a cette gestion des alertes. 

AInsi, un programme informatique congu pour mettre en oeuvre 
la presente Invention peut etre execute par le systeme de gestion 
d'alertes. 

La figure 2 est un organigramme illustrant les etapes du 
procede de gestion d'un ensemble O d'alertes issues de sondes de 
detection dlntrusions selon invention. 

Chaque alerte o de cet ensemble O d'alertes est definle par un 
identifiant d'alerte et un contenu d'alerte. 

En efPet, une alerte o e (9 peut etre definie par un identifiant 
d'alertes unique id(o) donne par un couple {s,n) oil s est I'identiflant de 
serie de la sonde de detection d'intrusions qui produit I'alerte et n est un 
numero de serie d'alerte affecte par cette sonde a I'alerte o . 

Le contenu de I'alerte o comporte un message textuel 
fourni par la sonde de detection d'intrusions qui a produit I'alerte et qui est 
destine a I'operateur de securite. 

L'etape El consiste a associer a chacune des alertes issues des 
sondes de detection d'intrusions 11a, lib, 11c, une description d{o) 
comportant une conjonction d'une pluralite d'attributs values {d^-^} 
appartenant a une pluralite ou un ensemble de domaines d'attributs {A}. 

Ainsi, une description d{o) d'une alerte est une conjonction de 
P attributs values, c'est-a-dire d(o) = d^i a < a 
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Un attribut value c?^,. est un couple (a,v) comportant un 
identifjant d'attribut a et une valeur d'attribut v . 

Chaque identifiant d'attribut a est associe a un domaine 
d'attribut A parmi les domaines suivants : domaine de I'attaque, domaine 
5 de lldentlte de I'attaquant, domaine de Hdentite de la victime et domaine 
de la date de I'attaque. 

D'une maniere generale, un domaine d'attribut A est forme 
d'un ensemble discret muni d'une relation d'ordre partiel definlssant le 
domaine de I'attribut value do,i. 
10 L'etape E2 consiste a organiser les attrlbuts values d„,- 

Oft 

appartenant a chaque domaine d'attribut A en une structure taxinomlque 
definlssant des relations de generalisation (ou specialisation) entre c4s 
attrlbuts values. II existe une taxinomie par domaine d'attribut. Ainsi, la 
pluralite des domaines d'attrlbuts forme une piurallte de structureis 
15 taxinomiques. . -y^ 

La structure taxinomique des attrlbuts values est de manierg 
generique un graphe acyclique dirige. 

Les relations taxinomiques sont modelisees par des axlomes. 
AinsI, un attribut value d plus specifique qu'un autre attribut value d' est 
20 modelise par un axiome d \=d\ c'est-a-dire que I'attribut value d' est une 
consequence logique de I'attribut value d . Autrement dit, une alerte qui 
possede I'attribut value specifique d possede automatiquement I'attribut 
value molns specifique d' . 

L'etape E3 consiste a completer la description de chacune des 
25 alertes Issues des sondes de detection dlntrusions 11a, lib, 11c, par des 
ensembles de valeurs induites par les structures taxinomiques, a partir des 
attrlbuts values de ces alertes inltiales, pour former des alertes completes. 

En effet, les attributs values des alertes produites par les 
sondes de detection d'intrusions sont les plus speclfiques des taxinomles. 
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Ainsi, a la reception d'une alerte donnee, le systeme de gestion 
d'alertes 13 peut par exemple completer la description de cette alerte en 
recuperant a partir des relations de generalisation de la pluralite de 
structures taxinomiques et de maniere recursive, un ensemble comportant 
les attributs values plus generaux et n'ayant pas deja ete presents dans la 
description d'une autre alerte precedemment completee. 

Autrement dlt, la description d'une alerte donnee est completee 
par un processus qui consiste a remonter dans une taxinomie donnee a 
partir d'un attribut value donne. Si un attribut value existe deja dans la 
description d'une autre alerte precedemment traltee, alors ie processus de 
remontee s'arrete, sinon il est ajoute et le processus est reitere a partir de 
cet attribut value ajoute. 

Ci-dessous est un exemple d'un algorithme 
« CompleterDescription » decrlvant un processus pour completer la 
description d'une alerte. 

CompleterDescription 
si/ niexiste pas do,i faii-e 

pourchaque ei> falre 

CompieterDascriptiori d'o,i ) 

fait 

fast 

Cet algorithme teste tout d'abord I'existence d'un attribut value 
donne d^^i. Si cet attribut d^^i n'existe pas, on recupere I'ensemble 

^ = : i 1= £/^} des attributs values qui sont plus abstralts au regard 
des taxinomies. Ensuite pour chaque element d^^i appartenant a D, 
I'algoritiime CompleterDescription est appele recursivement. A la fin, 
I'attribut value est ajoute au systeme de gestion d'alertes par la 
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commande « mkd/r» qui fait partie des commandes du systeme de 
fichiers logique LISFS. 

FInalement I'etape E4 de la figure 2, consiste a stacker les 
alertes, qui ont ete completees a I'etape precedente, dans le systeme de 
ficliiers logique 21 pour en permettre la consultation. 

Ci-dessous est un exemple d'un algorlthnrie « StockerA/e/te» 
decrivant un processus pour stocker une nouvelle alerte dans un systeme 
de fichiers logique du type LISPS. 

SixjckerAferte 
Pourchaqued^ i iSr/re 

CompleterDescriptioiiid^^) 

fait 

Get algorithme complete de manlere Iterative pour chaque 
element de description d^ji, une alerte donnee o en appelant Kalgorithme 
« CompleterDescription » decrit ci-dessus. 

Lorsque tous les elements de description de i'alerte donne^ 
sont completes, alors I'alerte complete et son contenu sent stockes par 
une commande de stockage « cp », qui prend en parametre ie contenu de 
I'alerte m^, la description de I'alerte d^^i/—/d„^„ et I'Identifiant de I'alerte 
a . 

Le stockage des alertes completes dans le systeme de ficfiiers 
logique 21 permet leur consultation par une succession d'interrogations 
et/ou de navigations dans I'ensemble des alertes completes. 

Ainsi, en reponse a une requete d'un operateur de security, le 
systeme de gestion d'alertes 13 fournit des attributs values pertinents 
permettant de distinguer un sous-ensemble d'alertes completes parmi un 
ensemble d'alertes completes satisfaisant la requete afin de permettre le 
raffinement de cette requete. 
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Une requete de Koperateur de securite est une formule logique 
/, qui combine des conjugalsons a, des disjonctions v, et des negations 
-1 d'attributs values. 

D'une manlere generale, la description d{o) d'une aierte o 
5 satisfalt une requete /, si la requete / est une consequence logique de la 
description d{o). L'ensemble des alertes satisfalsant la requite /, appele 
. rextension de / , est ainsi donne par ext(f) = { o e (9 : d{o) \= f >. 

L'ensemble A des attributs values pertinents est l'ensemble des 
attrlbuts values appartenant a des domaines d'attributs values A, tel que 
10 pour tout attribut valu^ pertinent p de A, l'ensemble d'alertes completes 
satisfalsant la conjonction de la requete courante / avec I'attribut value 
pertinent p est contenu strictement dans l'ensemble d'alertes completes 
satisfalsant la requete courante /. Ainsi, cet ensemble A des attributs 
values pertinents qui permettent de distinguer des alertes entre elles, peut 
1 5 etre defini de ia fagon suivante : 

A= {^pe A :^czext{f a p)czext{f)}. 

L'ensemble A peut itre considere comme un ensemble des 
liens de navigation, en definissant chaque attribut value pertinent p 
comme un lien de navigation. L'operateur de securite peut ainsi raffiner sa 

20 requete courante / en choisissant un lien de navigation p^^A fourni par 
le systeme de gestion d'alertes 13. La requete courante / de l'operateur 
de securite se transforme ainsi en la nouvelle requete f Ap. 

Avantageusement, pour reduire encore plus le nombre de 
reponses, ie systeme de gestion d'alertes 13 fournit, en priorite, les 

25 attributs values pertinents les plus generaux en regard de la pluralite de 
structures taxinomiques. 
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L'ensemble A^^,^ des attrlbuts values pertinents les plus 
generaux est alors donne par l'ensemble max|„(^) qui peut etre defini de 
la fagon suivante : 

max]^{A )= ipsA : il n'existe pas p'^ A,p'^ p,p |= p' }. 
5 AInsI, cet ensemble max|=(^), est l'ensemble de tout attribut value 
pertinent /> de ^ qui n'a pas un attribut value plus general. 

En outre, en reponse h la requete courante /, le systeme de 
gestion d'alertes fournit un ensemble O d'identifiants d'alertes dont la 
description satisfait la requete courante / et ne pouvant pas etre raffinee, 
10 c'est-a-dire decrlte plus precisement, par rapport a cette requete /. AInsi, 
l'ensemble O des identifiants d'alertes comporte tout identifiant d'alerte 
dont la description satisfait la requete courante / et telle qu'il n'existfe 
aucun attribut valu6 pertinent p tel que la conjonction de / et de /? soit 
satisfaite par la description de cette m§me alerte. Ainsi, cet ensemble O 
15 peut etre defini de la fagon suivante : * 
0=iid{p) '.o& O, f/(o)|=/,etil n'existepas p^A avec d{o)\=f^p >:-■ 

On notera que le systeme de fichlers logique 21 tel que LISFS 
offre des commandes permettant de naviguer (commande « cd »), 
interroger (commande « Is »), et stocker (commandes « cp » et mkdir ») 
20 des objets. 

Par exemple, dans LISFS, une requete permettant d'obtenir les 
alertes dont la victime est un proxy web et dont I'attaquant n'est pas 
Interne s'exprime de la fagon suivante : 

Is / "victime web proxy"/! "attaquant interne". 
25 D'une manlere generale, une alerte provenant d'une sonde de 

detection d'intrusions est un quadruplet d'attrlbuts values. Les quatre 
attributs envisages sont : attaque, attaquant^ victime, etdate. 
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Le domaine de Tattribut value « attaque » est constltue des 
Identifiants de signatures d'attaques contenus dans les alertes generees 
par les sondes de detection d'Intrusions 11a, lib, 11c. 

Le domaine de I'attribut value d'attaque comporte aussi les 
vulnerabilites eventuellement exploitees par una attaque. Les 
vulnerabilites sont plus abstraites, c'est-a-dire plus generates, que les 
identifiants d'attaques. 

Les autres valeurs utilisees pour qualifier les attaques sont 
Issues des mots des employes pour qualifier les attaques dans une 
documentation des sondes de detection d'Intrusions 11a, lib, 11c. 

A titre d'exemple, on peut utillser la sonde SnortI™ et le champ 
« msg » de ia documentation des signatures. 

En effet, la figure 3A iliustre un exemple de documentation 
assoclee aux signatures d'attaques. 

La colonne 31 du tableau 33 comporte des nombres entiers 
designant les signatures d'attaques. La colonne 35 du tableau 33 
comporte les documentations associees a ces signatures d'attaques. Ainsi, 
dans chaque llgne du tableau 33, une documentation est assoclee a 
chaque signature d'attaque. Chaque description comporte des mots des 
relatifs par exemple au type d'attaque, au protocole reseau utilise, et au 
succes ou a I'echec de I'attaque. 

La figure 3B montre une structure taxinomlque 37 deflnlssant 
des relations de generalisation 39 entre les attrlbuts values contenus dans 
le tableau 33. Cette structure taxinomlque 37 est organisee selon des 
connalssances expertes, a partir des mots cles de la documentation des 
signatures du tableau 33. On notera que, les signatures d'attaques 31 
constituent les attrlbuts values les plus specifiques. 

Le domaine de I'attribut value « attaquants » comporte des 
adresses IP. Les adresses IP externes sont generalisables par le nom de 
I'organisme proprletaire de la plage d'adresses IP a laquelle appartient 
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I'adresse. Le nom de Torganisme correspond au champ « netname» 
contenu dans des bases de donnees de I'organisme lANA™, qui gere 
Tattribution d'adresses IP. 

Les adresses IP internes et les adresses IP privees (non 
5 routables), sent generalisables en identifiants de reseaux locaux definis 
par un administrateur du systeme de detection d'intrusions 1. 

Enfin les noms des organismes sont generalisables en la valeur 
« ext^ et les identlfiants des reseaux locaux sont generalisables en la 
valeur « int». 

10 Le domaine de I'attribut value « victime » comporte des 

adresses IP. Ces adresses IP des victimes peuvent etre generalisees en 
I'adresse du reseau local correspondant. 

Ces adresses IP peuvent aussi etre generalisees en noms .de 
machines, obtenus par des m^canismes de resolution de noms. Les noms 

15 de machines peuvent etre generalises en « fonct/ons» d'hotes (par 
exempie serveur web), deflnis par I'adminlstrateur du site. Les noms dfe 
machines sont generalisables en Identlfiants de reseaux locaux definis par 
I'adminlstrateur du reseau (par exemple DiMZ). • * 
Le domaine de I'attribut value « date » comporte I'horodatage 

20 des alertes au format JJ-MM-AAAA hh:mm:ss. Les dates sont generalisees 
successivement en minutes, heure, jour, et mois dans I'annee. Ces 
generalisations correspondent finalement a des abstractions de plus en 
plus grossieres de la date d'une attaque. 

25 



30 
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Revendications 

l.Procede de gestion d'un ensemble d'alertes issues de sondes de 
detection d'intrusions (11a, lib, 11c) d'un systeme de securlte 
d'informations (1) comportant un systeme de gestion d'alertes (13), 
chaque alerte etant definie par un identifiant d'alerte et un contenu 
d'aierte, caracterise en ce qu'll comporte les etapes suivantes : 
-assocler a chacune des alertes Issues des sondes de detection 
d'intrusions (11a, lib, 11c), une description comportant une conjonctlon 
d'une plurallte d'attributs values appartenant a une pluralite de domaines 
d'attributs ; 

-organiser les attrlbuts values appartenant a chaque domaine d'attributs 
en une structure taxinomique definissant des relations de generalisation 
entre lesdits attributs values, la plurallte des domaines d'attributs formant 
ainsi une pluralite de structures taxinomlques ; 

-completer la description de chacune desdites alertes par des ensembles 
de valeurs Induites par les structures taxinomlques a partir des attributs 
values desdites alertes pour former des alertes completes ; 
-stocker lesdites alertes completes dans un systeme de flchiers loglque 
(21) pour en permettre la consultation. 

2. Precede selon la revendication 1, caracterise en ce que la consultation 
des alertes completes est reallsee par une succession d'Interrogations 
et/ou de navigations dans lesdites alertes completes de sorte qu'en 
reponse a une requete, le systeme de gestion d'alertes (13) fournit des 
attributs values pertinents permettant de distinguer un sous-ensemble 
d'alertes completes parmi un ensemble d'alertes completes satisfaisant la 
requete afin de permettre le raffinement de ladite requdte. 
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S.Procede selon la revendication 2, caracterlse en ce que les attributs 
values pertinents sont en priorite les plus generaux au regard de la 
pluralite de structures taxinomiques. 

5 4.Procede selon Tune quelconque des revendications 2 et 3, caracterlse en 
ce qu'en reponse a la requete, le systeme de gestlon d'alertes (13) fournit 
en outre des Identlfiants d'alertes sgtisfaisant la requete et dent la 
description ne peut pas etre raffinee par rapport a ladlte requite. 

10 5. Precede selon la revendication 1, caracterlse en ce que Hdentlfiant 
d'alerte est un couple forme d'un identifiant de la sonde de detection 
d'intrusions (11a, lib, 11c) qui produit I'alerte et d'un numero de serie 
d'alerte affecte par ladlte sonde. . : 

1 5 e.Procede selon la revendication 1, caracterlse en ce que le contenu de 
chaque alerte comporte un message textuel fourni par la sonde die 
detection d'intrusions (11a, lib, 11c) correspondante. fe.;^/ 

7. Precede selon I'une quelconque des revendications 1 a 6, caracterlse en 
20 ce que chaque attribut value comporte un identifiant d'attribut et une 
valeur d'attribut. 

S.Procede selon la revendication 7, caracterlse en ce que chaque 
identifiant d'attribut est associ^ a un domaine d'attributs parmi les 
25 domaines suivants : domaine de I'attaque, domaine de lldentite de 
I'attaquant, domaine de I'identite de la victime et domaine de la date de 
I'attaque. 

9.Procede selon la revendication 1, caracterlse en ce que la description 
30 d'une alerte donnee est completee en recuperant a partir des relations de 
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generalisation de la pluralite de structures taxinomiques et de maniere 
recursive, un ensemble comportant les attributs values plus generaux et 
n'ayant pas deja ete presents dans la description d'une autre alerte 
precedemment completee. 

lO.Procede selon I'une quelconque des revendicatlons. 1 a 9, caracterlse 
en ce que les attributs values dans la structure taxinomique sont organises 
selon un graphe acyclique dirlge. 
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11. Programme Informatique caracterise en ce qu'il est congu pour mettre 
en cEuvre le procede selon I'une quelconque des revendicatlons 1 a 10 
lorsqu'il est execute par le systeme de gestion d'alertes (13). 
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